世界を動かす技術を、日本語で。

PayPalが6ヶ月間にわたりユーザー情報が漏洩したデータ侵害を公表

概要

PayPal Working Capitalローンアプリのソフトウェアエラーにより、約6ヶ月間にわたり顧客の個人情報が漏洩。 漏洩内容には氏名、メールアドレス、電話番号、ビジネス住所、社会保障番号、生年月日が含まれる。 被害者には2年間の無料クレジットモニタリングとID復旧サービスを提供。 PayPalシステム自体は侵害されていないとの説明。 過去にも類似の情報漏洩事件と規制違反による和解事例が存在。

PayPal Working Capitalアプリにおける情報漏洩事件

  • PayPal Working Capital(PPWC)ローンアプリ のソフトウェアエラーによる個人情報漏洩
  • 2025年7月1日から12月13日 まで、約6ヶ月間情報が外部に露出
  • 氏名、メールアドレス、電話番号、ビジネス住所、社会保障番号、生年月日 が漏洩対象情報
  • 2025年12月12日 にPayPalが問題を発見、翌日に原因となるコード変更をロールバック
  • 被害者数は約100名 とPayPal広報が説明
  • 不正取引も一部発生、被害者には返金対応を実施

PayPalの対応と顧客へのアドバイス

  • 2年間の無料三大信用情報機関クレジットモニタリング および ID復旧サービス (Equifax経由)を提供
    • 2026年6月30日までの登録が必要
  • 全ての影響を受けたアカウントのパスワードリセット を実施
    • 次回ログイン時に新しい認証情報の作成が必要
  • クレジットレポートやアカウント活動の監視 を推奨
  • PayPalは電話やメールでパスワードや認証情報を要求しない と注意喚起
  • フィッシング詐欺の二次被害防止 のための啓発

過去のPayPalにおける情報漏洩と規制違反

  • 2022年12月6日~8日 :大規模なクレデンシャルスタッフィング攻撃で 35,000アカウントが被害
  • 2025年1月 :ニューヨーク州が サイバーセキュリティ規制違反 でPayPalに 200万ドルの和解金 を要求
  • 規制違反が2022年の情報漏洩につながった と指摘

PayPal広報の追加説明

  • PayPalシステム自体は侵害されていない との公式見解
  • ソフトウェアエラーによる限定的な情報露出 であり、通知対象は約100名
  • 顧客への早期通知義務 を遵守

ITインフラとセキュリティ対策の重要性

  • 現代のITインフラ は手動ワークフローでは対応困難
    • 自動応答やインテリジェントワークフロー による信頼性向上が必須
  • Tinesガイド で既存ツールを活用した自動化とスケールの実現方法を紹介

Hackerたちの意見

記事によると、彼らは「PayPalはこのエラーの原因となったコード変更を元に戻しました。これにより、個人情報が漏洩する可能性がありました。法執行機関の調査のためにこの通知を遅らせたわけではありません」と主張しているみたい。これじゃ、2ヶ月近くの開示遅れの説明にはなってないよね。根本的なバグがまだ解決していなくても、少なくともアカウントデータが漏れたことは開示できたんじゃないかな?もちろん、その場合はバグの詳細は開示しなくてもいいけど。

これって「妙に具体的な否定」ってやつだよね。法執行機関の調査のせいでリリースを遅らせたわけじゃないって言ってるけど、リリースを遅らせなかったとは言ってない。恥ずかしいリリースを遅らせる理由は「法執行機関の調査」以外にもたくさんあるし、「やりたくない」ってのもその一つだよね。

クリスマスの直前?それは疑わしいな。

会社は現在、影響を受けたユーザーに対して、エクイファックスを通じて2年間の無料の三大信用監視サービスと身分回復サービスを提供しています。登録は2026年6月30日までに必要です。なんてセンスのいい対応なんだ。

企業はセキュリティなんてどうでもいいと思ってるんじゃないかな。最悪の事態は、クレジット監視の費用を負担することだから。被害者は彼らに対して意味のある訴訟を起こす力がないし。そうなったとしても、結局は集団訴訟の和解で弁護士が大金を手に入れて、被害者はほんの少ししかもらえないんだよね。

https://en.wikipedia.org/wiki/2017_Equifax_data_breach

WEROがついにヨーロッパでPayPalを潰してくれることを願ってるよ。名前はめちゃくちゃだけど。

残念ながら、普段買い物するお店ではまだ見かけないな。

Weroは標準のSEPA送金に対して何の価値も追加してないし、なんで存在してるのか全く理解できない。PayPalは少なくとも顧客保護の仕組みがあるのに。

いいね、PayPalの誰がこれで刑務所に行くの?

ここ数年ずっとこんなこと考えてたけど、俺ってバカだったな!企業は今や社会のエリートだよ。彼らは失敗しないし、重要な人たちには賄賂を渡してる。つまり、君や俺じゃないってこと。FBを巻き込んだ議会でのパフォーマンスは、彼らが議会のバカたちに法律を説明する限り、何をやっても問題ないっていうさらなる証拠だよ。(最高裁が見てる中で、彼らは大笑いしてる。)ここ数十年の企業のルールはこうだ:法律を守るよりも罰金を払った方が利益が出る。 (そして、議会が消費者を守るための新しい法律が必要な最新技術についていけてないなら、誰が気にするの?)

すごい!記事をそのまま受け取ってみよう: 「その金融テクノロジー会社は、事件を引き起こしたコードの変更を元に戻し、侵害を発見してから1日後に攻撃者のデータへのアクセスをブロックしたと述べています。」素晴らしい、これが君のバグだ。ここでのキーワードはバグ。君の名前がこのコミットの横にある。君は刑務所に行くべき?たぶん違うよね。君がバグを持ったことがない、セキュリティホールを作ったことがない、プロダクションをダウンさせたことがない、間違いを犯したことがないって言ってみて。人間のエラーで刑務所に行きたいって言ってみて。意図ではなく、エラーだよ。

Hacker Newsで議論の続きを見る